"Доктор Веб" предупреждает: "Не всякий спам несет в себе вирус".

В службу технической поддержки компании «Доктор Веб» стали поступать запросы пользователей, обеспокоенных спам-рассылкой писем о необходимости смены сертификата доступа к популярным сервисам Яндекс.Почта и Яндекс.Деньги. Разработчики некоторых других антивирусных программ уже внесли соответствующую запись об этом «вирусе» в свои базы. Спешим успокоить интернет-общественность: антивирус Dr.Web не детектирует эти письма как вирус, т.к. они не несут в себе никакого вредоносного заряда и вирусом не являются.

Действительно, поток спама нередко несет на своей волне вирусы, троянские программы и другие вредоносные объекты. В последнее время в РуНете наметилась нарастающая тенденция использования спама для эксплуатации имен популярных у интернет-пользователей ресурсов. Такие рассылки, будучи безобидными с точки зрения вирусологии, преследуются нешуточные цели: посеять панику, породить недоверие к ресурсу, запятнать репутацию конкурента, отвернуть клиентов.
Тщательный анализ кода специалистами антивирусной лаборатории компании «Доктор Веб» показал, что файлы, разносимые с этой рассылкой, неработоспособные, а значит, не несут в себе никакого вредоносного заряда и вирусами не являются. Такие «битые» файлы компания «Доктор Веб» принципиально не добавляет в свои вирусные базы, в отличие от некоторых других вендоров. Подобный принцип формирования вирусной базы позволяет выпускать самые компактные обновления, не теряя в эффективности борьбы с реальными угрозами.
И все-таки, несмотря на безобидность данной конкретной рассылки, пользователям нужно быть на чеку. Несложные правила элементарной интернет-предосторожности помогут избежать уловок кибер-мошенников:
Не верьте письмам, в которых Вас просят подтвердить пароль или данные кредитной карты – ни одна уважающая себя компания не рассылает подобные требования по электронной почте.
Не заходите на вызывающие подозрения сайты, не поверив их предварительно бесплатным плагином Dr.Web Link Checker для используемого Вами браузера – такая проверка поможет избежать опасности.
Пользователи антивирусов Dr.Web надежно защищены от ловушек интернет-преступников. Тем же пользователям, которое все-таки опасаются, что на их компьютере может находится вирус, пока еще не определяемый установленной у них антивирусной программой другого производителя, советуем для душевного успокоения проверить систему с помощью бесплатной лечащей утилиты Dr.Web CureIt!. Правда, если Вы получили письмо подобного содержания, вируса в нем Dr.Web CureIt! не найдет. Потому что не вирус это:)

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru